Идентификация, ответственность, контроль: Минцифры разработало второй пакет мер по борьбе с киберпреступниками
Минцифры РФ разработало второй пакет законодательных инициатив по усилению цифровой безопасности граждан. В его состав вошло около 20 мер. Основная цель нововведений — «базовая безопасность по умолчанию». Речь о защите уязвимых точек в цифровом пространстве: телефонных звонков, SMS, онлайн-платежей, восстановление доступа к Госуслугам и т.д.
Новые регулировочные стандарты
В число предложенных мер входят следующие:
1. Маркировка иностранных звонков специальным идентификатором.
2. Запрет входящих звонков и SMS с иностранных номеров: абонент сможет установить запрет сам.
3. Банки и операторы связи будут обязаны компенсировать ущерб, если он произошёл по их вине.
4. Для фишинговых сайтов, вредоносного ПО и ресурсов, которые нарушают требования безопасности, будет предусмотрен процедуральный механизм блокировки вне судебного процесса.
5. Возможность восстановления доступа к Госуслугам через биометрическую идентификацию, через банки, мессенджеры, МФЦ.
6. Создание реестра согласий на обработку персональных данных.
7. Усиленное взаимодействие банков и операторов: автообмен данными через систему «Антифрод» и др.
Второй пакет охватывает множество сфер, среди которых связь, финансы, инфраструктура цифровых госуслуг. Это не локальные поправки, а комплексный пакет, призванный закрыть системные дыры. Мера задаёт новые регулировочные стандарты, может существенно изменить требования к операторам, банкам и провайдерам. Также она ведёт к повышению защиты личных данных, уменьшению рисков мошенничества и упрощению безопасного доступа к госуслугам. В результате в стране вырастет доверие к цифровым сервисам, снизится ущерб от мошенничества, кибербезопасность укрепится на национальном уровне.
Баланс между защитой и удобством
Большинство пунктов пакета потребуют изменений нормативов, возможно, административной и уголовной ответственности. Технические и организационные внедрения влекут за собой создание и поддержку инфраструктур, таких, как системы маркировки звонков, базы данных согласий, система «Антифрод», инструменты внесудебной блокировки веб-ресурсов. Эксперты допускают появление проблем возможного сопротивления. Операторы связи, банки и провайдеры могут возражать из-за затрат, сложностей реализации, вопросов с зарубежными номерами и международной связью. Кроме того, потребуется контроль за выполнением, в связи с чем возможны штрафы и ужесточение ответственности.
С точки зрения экспорта возможна гармонизация с международными стандартами КБ и защите персональных данных. Если Россия примет технологические и нормативные меры, соответствующие, например, международному праву, то сможет возрасти доверие к отечественным цифровым продуктам. Однако часть инициатив может быть «локализацией» защиты, что может усложнить трансграничную деятельность (например, маркировка иностранных вызовов).
Мера имеет техническую сложность, связанную с реализацией маркировки и блокировок, межведомственной координацией и изменениями в базе операторов и банков. Важно держать баланс между защитой и удобством, избегая риска ошибочной блокировки и злоупотреблений, а также опираться на судебные и международные требования. Правомерность внесудебных блокировок и обработка данных может привести к критике с точки зрения прав человека и приватности.
Комплексный подход
Пакет законов о «суверенном интернете» в своё время ограничил маршрутизацию данных, требования к локализации инфраструктуры и усилил контроль за интернет-трафиком. Мера показала, что это возможно, несмотря на критические отзывы. Закон об обязанностях операторов персональных данных усилил контроль над персональными данными, требования к хранению и ввёл штрафы за утечки. Он повысил требования к соответствию у ИТ-компаний, банков, госорганов. Выросли инвестиции в защиту данных и аудит безопасности.
Меры по борьбе с мошенничеством в банках, в числе которых двухфакторная аутентификация и расследования киберпреступлений, оказались частично успешными, но уязвимости всё же сохранились, особенно в фишинге и социальном инжиниринге. Глобальные стандарты и инициативы (например, GDPR в ЕС, законы о кибербезопасности, NIS2), заключающиеся в требованиях по защите данных и безопасности информационных систем, становятся референсами по всему миру. Компании, работающие на международных рынках, уже вынуждены их учитывать.
База для создания стандарта цифровой безопасности
Второй пакет мер — логичное продолжение тренда на усиление цифровой безопасности и ответственности операторов и провайдеров. Он отражает попытку «закрепить» безопасные инженерные и нормативные принципы по умолчанию. Если мера будет реализована эффективно, то сможет значительно снизить число случаев мошенничества, а также повысить доверие к государственным и коммерческим цифровым сервисам.
В ближайшие 1-2 года вероятна разработка и принятие нормативных актов, постановлений, возможно, поправок в законы (например, о защите персональных данных). Начнётся внедрение технических систем: маркировки звонков, реестров согласия и т.д. Операторы, банки и сервисы станут адаптироваться, пересматривать политику безопасности, совершенствовать внутренние процессы. Не исключены споры по поводу внесудебной блокировки, использования биометрии и т.д. В долгосрочной перспективе (3-5 лет) меры могут стать базой для создания стандарта цифровой безопасности, к которому придется адаптироваться не только в России, но и в сотрудничестве с партнёрами, особенно в области трансграничной цифровой торговли и данных.
